Yeni Astaroth kimlik avı kiti, ters proxy, gerçek zamanlı kimlik bilgisi yakalama ve oturum kaçırma kullanarak Gmail, Yahoo ve Microsoft giriş kimlik bilgilerini çalmak için 2FA’yı (iki faktörlü kimlik doğrulama) atlar.
Slashnext tehdit araştırmacıları tarafından keşfedilen siber suç ağlarında Astaroth olarak adlandırılan gelişmiş yeni bir kimlik avı kiti ortaya çıktı. Hackread.com ile yayınlanmasından önce paylaşılan Slashnext’in araştırmasına göre Astaroth, oturum kaçırma ve gerçek zamanlı kimlik bilgisi müdahalesinin bir kombinasyonu ile iki faktörlü kimlik doğrulamayı (2FA) atlamak için tasarlanmıştır.
Astorath nasıl çalışır?
Astaroth, EvilGinx tarzı bir ters proxy kullanarak (kötü niyetli bir sunucunun kurban ve meşru bir web sitesi arasında aracı görevi gördüğü) çalışır. Bu teknik, saldırganların kendilerini kurban ve Gmail, Yahoo ve Microsoft gibi meşru kimlik doğrulama hizmetleri arasında ortada bir adam olarak konumlandırabilmelerini sağlar.
Saldırganın mevcut detay seviyesi akıllara durgunluk veriyor. ‘Phishlet’, ‘Kullanıcı Adı’, ‘Parola’, ‘Kullanıcı Aracı’, ‘Uzak Addr’ ve ‘Jetonlar’ için sütunlar vardır. Arayüz, kullanıcı adlarını, şifreleri, kullanıcı aracısı bilgilerini ve çok önemli bir şekilde 2FA jetonları yakalayarak her kimlik avı denemesini günlüğe kaydeder. Saldırganlar bu günlükleri filtreleyip sıralayabilir, takip için girişleri işaretleyebilir ve hatta yakalanan jetonları daha sonra kullanmak için indirebilir.
Statik sahte oturum açma sayfalarına dayanan geleneksel kimlik avı kitlerinin aksine, Astaroth tüm kimlik doğrulama verilerini dinamik olarak keser. Bu, bir kullanıcının 2FA etkin olsa bile, Astaroth girildiği gibi ikinci faktörü (bir kimlik doğrulayıcı uygulamadan veya SMS mesajından kod gibi) yakalayabileceği anlamına gelir. Ters proxy, trafiği keser ve manipüle eder, oturum açma kimlik bilgilerini, kimlik doğrulama jetonlarını ve oturum çerezlerini gerçek zamanlı olarak yakalar. Tüm kimlik doğrulama verilerinin bu gerçek zamanlı yakalanması, Astaroth’u 2FA’yı atlamada bu kadar etkili kılan şeydir.
Saldırı Detayları
Slashnext’in raporuna göre, saldırı bir kurbanın bir bağlantıya tıkladığını ve bu da onları meşru bir web sitesi olarak poz veren kötü amaçlı bir sunucuya yönlendiren bir bağlantıyı içeriyor. Bu sunucu, SSL sertifikaları da dahil olmak üzere hedef etki alanının görünümünü ve işlevselliğini yansıtarak mağdurların tespit etmesini zorlaştırır.
Mağdur giriş kimlik bilgilerine girdiğinde, Astaroth onları yakalar ve isteği gerçek sunucuya iletir, kurbanın oturum ortamını çoğaltmak için kullanıcı adı, şifre, kullanıcı aracısı dizesi ve IP adresi alır. Saldırgan, jeton girildiğinde Web Paneli arayüzü ve telgraf bildirimleri aracılığıyla anında uyarılır.
Kit telgraftan satılır ve siber suç forumlarında ve pazar yerlerinde tanıtılır.
Resim, satıcının “черная магия” iddiasını, Astaroth’un başsız algılamayı atlayabileceğini ve Google, Microsoft (Office 365 dahil), AOL ve Yahoo Mail sağlayıcıları için tam çerezleri, kullanıcı adlarını ve şifreleri yakalayabileceğini gösterir.
Ayrıca, satıcı, evilginx’in ek işlevler ve atlama yöntemleri ile bir kombinasyonu olduğunu vurgular ve altı aylık güncellemeler ve destek içeren 2.000 $ karşılığında kurşun geçirmez barındırma da dahil olmak üzere özel barındırma seçenekleriyle birlikte gelir. Satıcı ayrıca satın almadan önce testler sunar, kitin yeteneklerini gösterir ve Recaptcha ve Botguard korumalarını atlamak için paylaşım tekniklerini gösterir.
Araştırmacılar, bu ilave işlevlerin “tehdit aktörlerine dayanıklılığını ve çekiciliğini artırmayı amaçladığını” söyledi.
Massachusetts merkezli uygulama güvenliği çözümleri sağlayıcısı Burlington, Black Duck’ın ana danışmanı, ağ ve kırmızı takım uygulama direktörü Thomas Richards, Astaroth kimlik avı kitinin endişe verici miktarda sofistike uyarısı hakkında ortaya çıkması hakkında yorum yaptı.
“Bu kimlik avı kiti endişe verici miktarda sofistike gösterir. Kullanıcıları eğittiğimiz için dikkat edilmesi gereken tüm olağan savunmalar ve dikkat edilmesi gereken şeylerin bu saldırı ile tespit edilmesi daha zordur. Kolluk kuvvetleri ile işbirliği yapmayan sağlayıcılar üzerinde çalışan altyapının olması, bu kötü niyetli aktörleri devirmeyi zorlaştıracaktır,“ dedi Thomas.
“Son zamanlarda, ABD ve Avrupa ülkeleri bu mermi geçirmez barındırma sağlayıcılarını barındıran ülkelere yaptırımlar yerleştirdiler. Kullanıcılar, bildikleri bir kuruluştan olduğunu ve acil eylem talep ettiklerini iddia eden bir e -posta alırken ekstra dikkatli olmalıdır. Böyle bir e -posta alınırsa, kullanıcılar doğrudan web sitesini ziyaret etmeli ve hesaplarıyla ilgili herhangi bir uyarı veya sorun olup olmadığını görmek için bağlantıyı tıklamamalıdır,“ Uyardı.